Une nouvelle législation limitant l’utilisation de la reconnaissance faciale au Canada est nécessaire selon les groupes de défense des libertés civiles, qui affirment que les lois proposées sur la vie privée et l’intelligence artificielle actuellement soumises au Parlement sont inadéquates.
L’appel de la Coalition Right2YourFace précède le témoignage jeudi d’un de ses membre, l’Association canadienne des libertés civiles, devant le comité de l’industrie de la Chambre des communes sur le projet de loi C-27, qui comprend la Loi sur la protection de la vie privée des consommateurs (LPVPC) et la Loi sur l’intelligence artificielle et les données (LIAD).
La LPVPC couvrirait les entreprises sous réglementation fédérale et les sociétés situées dans les provinces et les territoires qui ne disposent pas de leur propre législation sur la protection de la vie privée dans le secteur privé. La LIAD réglementerait l’utilisation de logiciels de prise de décision automatisés « à fort impact ».
Parmi ses nombreuses failles, le projet de loi C-27 ne comporte pas de définitions claires et contient trop d’exemptions qui peuvent laisser la reconnaissance faciale non réglementée, a déclaré mercredi la coalition dans un communiqué.
« La technologie de reconnaissance faciale est un outil puissant et invasif qui est utilisé par des acteurs des secteurs public et privé, des forces de l’ordre aux centres commerciaux, et il y a peu de garde-fous pour nous en protéger », a déclaré Daniel Konikoff de l’Association des Libertés Civiles.
« La façon de mettre au banc d’essai une nouvelle loi est de voir si elle protégera mieux la population partout au Canada que l’ancienne. Les exceptions prévues dans la Loi sur la protection de la vie privée des consommateurs et les exclusions du secteur public dans la Loi sur l’intelligence artificielle et les données signifient que le projet de loi C-27 échoue à ce test, à un moment où la technologie invasive de reconnaissance faciale gagne du terrain dans les applications des secteurs privé et public », a déclaré Brenda McPhail, membre du comité directeur de Right2YourFace.
Dans une lettre adressée au ministre de l’Innovation François-Philippe Champagne, dont le ministère est responsable du projet de loi C-27, la coalition souligne cinq problèmes liés au projet de loi :
— La LPVPC ne signale pas les informations biométriques comme informations sensibles et ne définit pas du tout les « informations sensibles ». « Cette omission laisse certaines de nos informations les plus précieuses et les plus vulnérables – y compris les visages auxquels nous devons avoir droit – sans protections adéquates », déclare la coalition.
La LPVPC devrait inclure des dispositions spéciales pour les informations sensibles, et sa définition devrait explicitement prévoir une protection renforcée des données biométriques, y compris les images de reconnaissance faciale. Les données biométriques les plus sûres, ajoute la lettre, sont les données biométriques qui n’existent pas.
— L’exemption accordée aux entreprises par la LPVPC d’informer les personnes que leurs renseignements personnels sont collectés si cela est fait à des « fins commerciales légitimes » est trop large et ne protégera pas les consommateurs des entités privées souhaitant utiliser des technologies de reconnaissance faciale (TRF).
— Alors que la LIAD couvre les « systèmes à fort impact », la définition de ce que cela inclut n’y est pas incluse. « Laisser ce concept crucial être défini plus tard par règlement laisse les Canadiens sans base significative pour évaluer l’impact de la loi, et les TRF doivent être incluses », déclare la coalition.
Il convient de noter que le ministre Champagne a déclaré au comité que la version finale de la LIAD inclurait une définition d’un « impact élevé » pour inclure le traitement des informations biométriques à des fins d’identification sans consentement.
La lettre reconnaît que M. Champagne a proposé des amendements potentiels au C-27. Mais, déplore-t-elle, beaucoup manquent de langage législatif concret.
— La LIAD ne s’applique pas aux institutions gouvernementales, y compris les agences de sécurité nationale qui utilisent l’IA à des fins de surveillance, et exempte la technologie d’IA du secteur privé développée pour être utilisée par ces agences de sécurité nationale. Cela crée « un déséquilibre de pouvoir sans précédent », affirme la coalition.
— La LIAD se concentre sur le concept de préjudice individuel, qui exclut les impacts des TRF sur les communautés dans leur ensemble.
Dans l’état actuel des choses, indique la lettre, la LPVPC n’est « pas équipée pour protéger les individus et les communautés contre les risques des TRF ».
Adaptation et traduction française par Renaud Larue-Langlois.
